GDPR, dupa 2 ani in Romania. Amenzi si lectii invatate

Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) si articolul 16 alineatul (1) din Tratatul privind functionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protectia datelor cu caracter personal care o privesc.

In primul rand, privim partea pozitiva majora a GDPR. Actul a dus la crearea a peste jumatate de milion de locuri noi de munca la nivelul intregului bloc comunitar. Specializarea Data Protection Officer (DPO) se regaseste in majoritatea companiilor cu sediul intr-o tara membra UE, unde, totodata, au fost create afaceri noi care se ocupa cu externalizarea acestei obligativitati. GDPR a instituit reguli noi si sanctiuni mari, dar a ajutat si la dezvoltarea unei intregi noi nise.

In al doilea rand, aniversarea de 2 ani a GDPR coincide cu pandemia Covid-19, iar dezbaterile din spatiul public ne arata ca persoanele fizice si juridice iau din ce in ce mai serios prelucrarea datelor personale. E un semn ca atat companiile, cat si cetatenii sunt constienti de implicatiile pe care le au acest domeniu. 

In al treilea rand, in Romania institutia responsabila de aplicarea corecta a GDPR si a actelor normative conexe este ANSPDCP. Detalii complete despre institutie puteti regasi AICI, unde am relatat principalele aspecte de retinut.

Retinem! Evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal. Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societatilor private, cat si autoritatilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitatilor lor. Din ce in ce mai mult, persoanele fizice fac publice la nivel mondial informatii cu caracter personal. Tehnologia a transformat deopotriva economia si viata sociala si ar trebui sa faciliteze in continuare libera circulatie a datelor cu caracter personal in cadrul Uniunii si transferul catre tari terte si organizatii internationale, asigurand, totodata, un nivel ridicat de protectie a datelor cu caracter personal.

GDPR implineste 2 ani de implementare. Amenzile

In al patrulea rand, anul 2018 a fost marcat de adoptarea legislatiei nationale aplicabile (Legea nr. 129/2018, Legea nr. 190/2018), inclusiv a deciziilor normative ale Autoritatii. Acum putem afirma ca, incepand cu anul 2019, s-a dat efectivitate deplina monitorizarii implementarii corecte a noului Regulament si a reglementarilor nationale aferente, la nivelul operatorilor din sectorul public si privat. Amenzile au inceput sa fie din ce in ce mai intalnite.

Prima amenda din Romania a fost primita de Unicredit. Operatorul a fost sanctionat contraventional cu amenda in cuantum de 613.912 lei, echivalentul in euro al sumei de 130.000 euro, ca urmare  a neaplicarii masurilor tehnice si organizatorice adecvate, atat in momentul stabilirii mijloacelor de prelucrare, cat si in cel al prelucrarii in sine, destinate sa puna in aplicare in mod eficient principiile de protectie a datelor, precum reducerea la minimum a datelor, si sa integreze garantiile necesare in cadrul prelucrarii, pentru a indeplini cerintele RGPD si a proteja drepturile persoanelor vizate. Aceasta a condus la dezvaluirea in documentele ce contin detaliile tranzactiilor si care sunt puse on-line la dispozitia clientilor beneficiari ai platilor, a datelor privind CNP-ul si adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la o alta institutie de credit - tranzactii externe si depuneri la casierie), respectiv a datelor privind adresa platitorului (pentru situatiile in care platitorul efectua tranzactia dintr-un cont deschis la UNICREDIT BANK SA - tranzactii interne), pentru un numar de 337.042 persoane vizate, in perioada 25 mai 2018 – 10.12.2018.

A doua amenda a urmat la scurt timp dupa prima pentru World Trade Center Bucharest - 15.000 euro. Operatorul WORLD TRADE CENTER BUCHAREST S.A. a fost sanctionat deoarece nu a luat masuri pentru a se asigura ca angajatii sai care au acces la date cu caracter personal nu le prelucreaza decat la cererea sa, potrivit legii. De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal. Aceasta a condus la accesul neautorizat la datele cu caracter personal ale unui numar de 46 de clienti ai WORLD TRADE CENTER BUCHAREST S.A si divulgarea neautorizata a acestor date, in mediul on-line.

Consilier - Codul Muncii abonament 12 actualizari

Vezi AICI detalii

Ghidul practic al contabilului din domeniul constructiilor

Vezi AICI detalii

Registrul de Evidenta Fiscala PFA

Vezi AICI detalii

A treia amenda fost aplicata Raiffeisen Bank. Incalcarea securitatii a constat in faptul ca doi angajati ai Raiffeisen Bank S.A., utilizand datele din documentele de identitate ale unor persoane fizice, transmise de catre angajati ai societatii Vreau Credit S.R.L. prin intermediul aplicatiei mobile WhatsApp, au efectuat interogari ale sistemului Biroului de Credit pentru a obtine datele necesare in vederea determinarii eligibilitatii la creditare a respectivelor persoane fizice, prin simulari de prescoring. In acest sens, au fost efectuate 1194 simulari, cu privire la 1177 persoane fizice. De asemenea, pentru 124 de persoane fizice s-a efectuat si consultarea bazei de date a ANAF. Simularile de prescoring mentionate mai sus au fost efectuate prin intermediul aplicatiei informatice utilizate de Raiffeisen Bank S.A. in activitatea de creditare, iar decizia negativa de creditare a fost comunicata de catre angajatii Raiffeisen Bank S.A. catre angajatii Vreau Credit S.R.L., cu incalcarea procedurilor interne. Sanctiunea a fost aplicata operatorului ca urmare  a faptului ca acesta nu a luat masurile corespunzatoare pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern. De asemenea, operatorul nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator si nu a evaluat riscurile pe care le prezinta prelucrarea.

A patra amenda a fost incasata de Inteligo Media, proprietarul avocatnet.ro.Sanctiunea a fost aplicata ca urmare a unor sesizari prin care se semnala faptul ca pentru crearea unui cont nou pe website-ul avocatnet.ro - ce apartine operatorului Inteligo Media SA, se afiseaza o casuta nebifata, cu un text alaturat cu urmatorul continut: «Nu vreau sa primesc "Personal Update", informarea trimisa zilnic, gratuit, pe email, de avocatnet.ro». Potrivit acestor conditii stabilite de operator, in masura in care un utilizator omite bifarea acestei casute, el este automat abonat, respectiv e-mailul sau este introdus automat in baza de abonati la aceasta informare. Astfel, abonarea a avut loc in absenta unei manifestari de vointa din partea utilizatorilor, care sa indice in mod clar acceptarea prelucrarii in scopul stabilit de operator. In cadrul controlului, operatorul nu a putut face dovada obtinerii unui consimtamant explicit, in conditiile prevazute de art. 7 din RGPD, pentru un numar de 4357 de utilizatori, carora le-a prelucrat datele cu caracter personal. 

A cincea amenda a fost trimisa de ANSPDCP catre Cetelem pentru incalcarea art. 12, alin. (3) din GDPR. Operatorul a fost sanctionat cu echivalentul in lei a 2000 de euro.

A sasea amenda a fost aplicata companiei Fan Courier Express. Sanctiunea de 11.000 de euro a fost aplicata operatorului intrucat nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii generat in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, ceea ce a condus la pierderea datelor cu caracter personal (nume, prenume, numar card, cod siguranta card (cvv), adresa titular card, cod numeric personal, serie si numar card identitate, numar cont IBAN, limita credit aprobat, adresa de corespondenta) si la divulgarea/accesarea neautorizata a datelor cu caracter personal, fiind afectate de incidentele de securitate un numar de aproximativ 1100 persoane fizice vizate, desi operatorul avea obligatia luarii masurilor de securitate adecvata a datelor cu caracter personal.

A saptea amenda a fost incasata de ING pentru ca operatorul nu a asigurat respectarea principiului protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor (privacy by design si privacy by default), intrucat nu a procedat la adoptarea de masuri tehnice si organizatorice corespunzatoare, privind integrarea de garantii adecvate in sistemul automatizat de prelucrare a datelor in cadrul procesului de decontare al tranzactiilor cu cardul, fiind afectat un numar de 225.525 de clienti ale caror operatiuni de plata au fost dublate in perioada 8-10.10.2018, raportat si la prevederile art. 32 alin. (1) lit. d) din RGPD. Banca a trebuit sa achite 80.000 de euro.

A opta amenda a fost aplicata TAROM ca urmare a faptului ca acesta nu a implementat masuri tehnice si organizatorice adecvate pentru a se asigura ca orice persoana fizica care actioneaza sub autoritatea acestuia si care are acces la date cu caracter personal, nu le prelucreaza decat la cererea sa. Corelat cu acest aspect, operatorul nu a luat nici masuri adecvate pentru a asigura un nivel de securitate corespunzator riscului generat de divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod. Sanctiunea a fost de 20.000 de euro.

A noua si a zecea amenda au fost trimise unor firme mai mici. Modern Barber SRL a primit 3000 de euro sanctiune, in timp ce Nicola Medical team a trebuit sa plateasca 2000 de euro. 

A unsprezecea amenda a fost aplicata Globus Score SRL pentru ca operatorul nu a adus la indeplinire masura corectiva dispusa de catre  Autoritatea Nationala de Supraveghere.

A doisprezecea amenda a fost incasata de Telekom pentru incalcarea art. 32, alin. (1), lit. b), art. 32, alin. (2) si art. 5, alin. (1). Compania a trebuit sa achite echivalentul in lei a 2000 de euro.

A treisprezecea amenda a fost aplicata unei asociatii de proprietari - 500 de euro - pentru incalcarea art. 83, alin. (5), lit. a) din GDPR. Sanctiunile au fost aplicate ca urmare a unei plangeri prin care petentul a reclamat accesarea, utilizarea si dezvaluirea catre diverse persoane, fara temei legal, a unor imagini cu persoana sa, provenite din sistemul de supraveghere video al Asociatiei de Proprietari.

A paisprezecea amenda de 14.000 de euro a fost trimisa Hora Credit IFN pentru incalcarea art. 83 din GDPR.

A cincisprezecea amenda a fost incasata de Enel Energie pentru incalcarea dispozitiilor art. 5 alin. (1) lit. d) si (2) din Regulamentul General privind Protectia Datelor, incalcarea prevederilor art. 6 si art. 7 din Regulamentul General privind Protectia Datelo si incalcarea prevederilor art. 21 alin. (1) din Regulamentul General privind Protectia Datelor. Sanctiunile au fost aplicate ca urmare a unei plangeri.

A saisprezecea amenda in cuantum de 10.000 de euro a fost aplicata Entirely Shipping&Tradin SRL pentru incalcarea dispozitiilor art. 12 si art. 13 din Regulamentul General privind Protectia Datelor (RGPD), incalcarea dispozitiilor art. 5 alin. (1) lit. c), art. 6 si art. 7 din RGPD, incalcarea dispozitiilor art. 5 alin. (1) lit. c), art. 9 si art. 7 din RGPD, incalcarea dispozitiilor art. 5 alin. (1) lit. a), b) si e) si art. 6 din RGPD.

A saptesprezecea amenda - 3000 euro - a fost aplicata Vodafone intrucat a prelucrat gresit date personale ale unei persoane fizice in scopul solutionarii reclamatiei acesteia, ceea ce a determinat ulterior transmiterea raspunsului operatorului catre o adresa de e-mail eronata, nefiind adoptate suficiente masuri suficiente de securitate impotriva prelucrarii ilegale a datelor personale ale persoanei respective, cu incalcarea principiilor de prelucrare prevazute de art. 5 alin. (1) lit. d) si f) coroborat cu art. 5 alin. (2) din Regulamentul General privind Protectia Datelor.

A optsprezecea amenda - 2000 euro - a fost incasata de Asociatia SOS Infertilitatea pentru ca nu a raspuns solicitarilor ANSPDCP.

A nouasprezecea amenda a fost trimisa catre Enel Energie Muntenia pentru ca a a transmis pe adresa de e-mail a unui client persoana fizica, date personale (nume si prenume, adresa, adresa de e-mail, cod client, cod eneltel) ale unui alt client. Aceasta greseala a costat firma 3000 de euro.

A douazecea amenda a fost aplica eMag pentru incalcarea art. 6 din GDPR. Compania a trebuit sa achite 3000 de euro pentru ca a trimis in continuare comunicare comerciale unei persoane careia ii confirmase dezabonarea.

A douazecisiuna si cea mai recenta amenda a fost primita de BCR - 5000 euro - pentru ca nu a luat masuri pentru a asigura ca orice persoana fizica care actioneaza sub autoritatea sa si care are acces la date cu caracter personal nu le prelucreaza decat la cererea sa, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern.

La nivelul UE, cea mai mare sanctiune a fost primita de Google in Franta. Compania va trebui sa achite 50 de milioane de euro, intrucat nu a platit inca sanctiunea.

Finalmente, retinem ca Autoritatea Nationala de Supraveghere isi propune sa acorde aceeasi atentie activitatii de control si celei de solutionare a plangerilor, constienti fiind ca diversitatea situatiilor specifice domeniului protectiei datelor va reprezenta o provocare pentru institutie, in contextul evolutiilor tehnologice accentuate din societate.